Vulnerabilidades crítica de día cero en Fortinet

Una vulnerabilidad crítica de día cero que afecta a varios productos de Fortinet, en particular a los sistemas de telefonía empresarial FortiVoice, ha sido parcheada recientemente. Los atacantes se mantienen explotando activamente la vulnerabilidad CVE-2025-32756.

¿Cuál es la amenaza?

La vulnerabilidad reside en el manejo inadecuado de las solicitudes HTTP. Al enviar solicitudes HTTP maliciosas que contienen estas cookies diseñadas especialmente, un atacante remoto puede provocar un desbordamiento de búfer en la pila. Este desbordamiento permite al atacante sobreescribir direcciones de memoria críticas, lo que lleva a la ejecución de código o comandos arbitrarios con privilegios de root en el dispositivo afectado

Productos y versiones afectadas:

• FortiVoice: Versiones 7.2.0, 7.0.0 a 7.0.6, 6.4.0 a 6.4.10
• FortiMail: Versiones 7.6.0 a 7.6.2, 7.4.0 a 7.4.4, 7.2.0 a 7.2.7, 7.0.0 a 7.0.8
• FortiNDR: Versiones 7.6.0, 7.4.0 a 7.4.7, 7.2.0 a 7.2.4, 7.0.0 a 7.0.6
• FortiRecorder: versiones 7.2.0 a 7.2.3, 7.0.0 a 7.0.5, 6.4.0 a 6.4.5
• FortiCamera: Versiones 2.1.0 a 2.1.3, 2.0.x, 1.1.x

¿Por qué es digno de mención?

Dado que esta vulnerabilidad se explota activamente, es crucial actuar con prontitud para proteger los dispositivos Fortinet y las redes que protegen. Las organizaciones deben priorizar la aplicación de parches e investigar cualquier indicio de vulnerabilidad.

¿Cuál es la exposición o riesgo?

La explotación exitosa de CVE-2025-32756 puede tener graves consecuencias, entre ellas las siguientes:

• Ejecución remota de código: los atacantes pueden ejecutar código o comandos arbitrarios en el sistema comprometido y obtener control total.
• Violaciones de datos: los atacantes pueden acceder a información confidencial, lo que podría conducir al robo de datos y otras actividades maliciosas.
• Compromiso del sistema: el control total sobre el sistema afectado permite a los atacantes modificar configuraciones, instalar malware, crear nuevas cuentas de usuario y pasar a otros sistemas internos.
• Robo de credenciales: como se ha observado, los atacantes han utilizado esta vulnerabilidad para habilitar “depuración fcgi”, que registra los intentos de autenticación, incluidos los inicios de sesión SSH, lo que podría llevar al robo de credenciales del sistema.
• Reconocimiento de red: los atacantes han utilizado dispositivos comprometidos para escanear la red interna en busca de otros objetivos.
• Evasión de detección: los atacantes borran los registros de fallos del sistema para ocultar sus actividades.

Conoce Barracuda CloudGen Firewall

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Actualice a las últimas versiones.

•  FortiVoice: 2.1 o superior (para 7.2.0), 7.0.7 o superior (para 7.0.0-7.0.6), 6.4.11 o superior (para 6.4.0-6.4.10)
• FortiMail: 6.3 o superior (para 7.6.0-7.6.2), 7.4.5 o superior (para 7.4.0-7.4.4), 7.2.8 o superior (para 7.2.0-7.2.7), 7.0.9 o superior (para 7.0.0-7.0.8)
• FortiNDR: 6.1 o superior (para 7.6.0), 7.4.8 o superior (para 7.4.0), 7.2.5 o superior (para 7.2.0), 7.0.7 o superior (para 7.0.0). 7.1 y 1.1-1.5 deben migrar a una versión corregida.
• FortiRecorder: 2.4 o superior (para 7.2.0-7.2.3), 7.0.6 o superior (para 7.0.0-7.0.5), 6.4.6 o superior (para 6.4.0-6.4.5)
• FortiCamera: 1.4 o superior. 1.1 y 2.0 deben migrar a una versión fija.
• Deshabilite la interfaz administrativa HTTP/HTTPS para mitigar el riesgo si no es posible aplicar un parche de inmediato.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR